安全報(bào)告丨揭秘黑客思維，掃除安全死角

面對(duì)日益嚴(yán)苛的安全法規(guī)與猖獗的攻擊形式，攻擊者與防護(hù)者始終處于“拉鋸”狀態(tài)，彼此升級(jí)數(shù)字技術(shù)水準(zhǔn)。作為加持企業(yè)網(wǎng)絡(luò)安全的防護(hù)者一方，不懂黑客思維、缺失黑客視角，難以長(zhǎng)期、全面地建立防御屏障。

基于Akamai多年積累的網(wǎng)絡(luò)安全經(jīng)驗(yàn)，《黑客思維》報(bào)告梳理總結(jié)常見(jiàn)黑客思維及應(yīng)對(duì)策略如下：

掃清盲點(diǎn)，加固OT系統(tǒng)安全

縱觀全球關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件，運(yùn)營(yíng)技術(shù)(即OT)一直是攻擊者利用常見(jiàn)技術(shù)獲取訪問(wèn)權(quán)限的突破口。OT是指用于控制、監(jiān)控或操作物理實(shí)體的任何計(jì)算機(jī)。例如，水處理設(shè)施和變電站等基礎(chǔ)設(shè)施站點(diǎn)的控制系統(tǒng)、醫(yī)院的HVAC(供暖、通風(fēng)、空調(diào))系統(tǒng)或大學(xué)的CCTV裝置。

萬(wàn)物互聯(lián)時(shí)代，這些系統(tǒng)是用于操作物理實(shí)體的簡(jiǎn)單計(jì)算機(jī)形式，允許操作員啟動(dòng)生產(chǎn)車間的傳送帶或啟動(dòng)空調(diào)。目前，關(guān)鍵基礎(chǔ)設(shè)施中有越來(lái)越多的OT系統(tǒng)支持IP，以實(shí)現(xiàn)數(shù)字連接。然而，這些系統(tǒng)通常沒(méi)有身份驗(yàn)證功能，并且可通過(guò)聯(lián)網(wǎng)設(shè)備搜索引擎進(jìn)行查看。由此導(dǎo)致了明顯的網(wǎng)絡(luò)安全短板，很容易受到攻擊。

應(yīng)對(duì)OT這一安全脆弱點(diǎn)，傳統(tǒng)技術(shù)在風(fēng)險(xiǎn)審計(jì)期間難以發(fā)現(xiàn)數(shù)字資產(chǎn)風(fēng)險(xiǎn)，但Akamai Page Integrity Manager憑借行為檢測(cè)技術(shù)、優(yōu)先級(jí)清晰的實(shí)時(shí)警報(bào)、直觀的儀表板和報(bào)告、策略管理、漏洞檢測(cè)、靈活的部署選項(xiàng)等功能優(yōu)勢(shì)，可以及時(shí)發(fā)現(xiàn)并根除漏洞盲點(diǎn)，守護(hù)OT系統(tǒng)安全，阻止惡意活動(dòng)。

OT、IT深度融合，構(gòu)建零信任模式

防范OT網(wǎng)絡(luò)安全攻擊，理想的解決方案是將IT和OT系統(tǒng)分開(kāi)，來(lái)減少滲透環(huán)節(jié)。但現(xiàn)實(shí)情況是，伴隨著物聯(lián)網(wǎng)熱潮興起，傳統(tǒng)工業(yè)OT技術(shù)與新型IT技術(shù)正在進(jìn)行深度融合。鑒于OT安全程序，難以實(shí)現(xiàn)有效、全面的訪問(wèn)控制，經(jīng)常面臨著諸多可能導(dǎo)致運(yùn)營(yíng)中斷的反彈風(fēng)險(xiǎn)。

為保護(hù)企業(yè)關(guān)鍵資產(chǎn)，無(wú)法定期修補(bǔ)或難以實(shí)施訪問(wèn)控制的OT系統(tǒng)，在一定程度上，需要進(jìn)行實(shí)體隔離或從面向公眾的網(wǎng)絡(luò)中移除。面對(duì)潛在風(fēng)險(xiǎn)，零信任(Zero Trust)模式很有必要。該模式會(huì)假設(shè)所有操作員控制的輸入，都可能是惡意的，除非另行證明?；谧钚√貦?quán)訪問(wèn)權(quán)限原則操作，可以確保所有用戶、應(yīng)用程序和端點(diǎn)設(shè)備都經(jīng)過(guò)驗(yàn)證。

與此同時(shí)，為及時(shí)阻止高度危險(xiǎn)的規(guī)避式爬蟲(chóng)程序，避免侵蝕客戶信任，Akamai Bot Manager將提供更新爬蟲(chóng)程序目錄、高級(jí)爬蟲(chóng)程序檢測(cè)、精細(xì)的響應(yīng)行動(dòng)、報(bào)告與分析、托管安全服務(wù)等功能，來(lái)提升企業(yè)可信度、提高運(yùn)營(yíng)控制能力，并減輕補(bǔ)救措施造成的負(fù)擔(dān)。

勒索日漸猖獗，主動(dòng)防御勢(shì)在必行

關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，通常也是勒索攻擊的重災(zāi)區(qū)。因?yàn)楣粽咴跈z索勒索目標(biāo)時(shí)，往往關(guān)注對(duì)停機(jī)時(shí)間幾乎沒(méi)有容忍度且需要盡快恢復(fù)業(yè)務(wù)常態(tài)的目標(biāo)企業(yè)。相關(guān)數(shù)據(jù)顯示，僅2019年到2020年，勒索贖金平均數(shù)額增加了一倍多。其“撕票”形式表現(xiàn)為，如果不付款就將數(shù)據(jù)泄露至暗網(wǎng)。

站在攻擊者視角來(lái)看，勒索發(fā)起者力求在付出最少努力的情況下，快速獲得金錢。在同一行業(yè)不同企業(yè)勒索攻擊方式大致相同的情況下，貪得無(wú)厭的網(wǎng)絡(luò)犯罪分子，在第一次攻擊得手后，將會(huì)把攻擊模式迅速?gòu)?fù)制和擴(kuò)展到整個(gè)行業(yè)。

如果您的組織收到勒索信，Akamai建議不要支付贖金，因?yàn)榧幢阒Ц?，也不能保證對(duì)方會(huì)停止攻擊。為應(yīng)對(duì)勒索威脅，Akamai安全運(yùn)營(yíng)中心全天候開(kāi)放，我們建議您與IT和安全人員一起查閱您的行動(dòng)手冊(cè)，提前部署安全預(yù)案，同時(shí)確保所有關(guān)鍵員工隨時(shí)待命，并與Akamai SOC保持密切聯(lián)系。

應(yīng)對(duì)賬戶威脅，強(qiáng)化API訪問(wèn)保護(hù)

根據(jù)Akamai針對(duì)游戲業(yè)的互聯(lián)網(wǎng)現(xiàn)狀報(bào)告，自2019年以來(lái)針對(duì)游戲公司的攻擊增加了340%。犯罪論壇流傳的SANS和Offensive Security提供的書(shū)籍和課程以及在Udemy教授的盜版課程，無(wú)疑助長(zhǎng)了部分入門級(jí)黑客的攻擊勢(shì)頭。

針對(duì)游戲行業(yè)的網(wǎng)絡(luò)攻擊，犯罪分子同樣聚焦于安全薄弱環(huán)節(jié)，尤其是未得到適當(dāng)強(qiáng)化且暴露在外的新應(yīng)用程序、API或帳戶功能。由此，相比于桌面平臺(tái)和游戲主機(jī)平臺(tái)，并不具備強(qiáng)防御實(shí)力的手機(jī)游戲和基于Web的游戲，成為了本地文件包含(LFI)和SQL注入(SQLi)攻擊的主要目標(biāo)。

面對(duì)犯罪分子盜取游戲賬戶、數(shù)字資產(chǎn)的惡意行徑，Akamai建議您加強(qiáng)現(xiàn)有保護(hù)措施，淘汰傳統(tǒng)保護(hù)措施，持續(xù)保護(hù)API訪問(wèn)，比如積極使用密碼管理器和2FA等額外保護(hù)機(jī)制，都可以幫助游戲公司更有效地實(shí)現(xiàn)安全控制。